VPN IPSEC ASA5510

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
cavallo

In questo modo vai di proxy-arp!
Io di solito faccio così!
Però attento perchè devi riconfigurare nat0, split-tunnel...

Quale è il tuo obiettivo?
Cmq ASA non ti fa routing sulla stessa interfaccia...
Andiamo per ordine "vai di proxy-arp": che significa? Non ho ancora affrontato l'argomento, faccio delle ricerche sul forum.

Per quanto riguarda il routing; cosa si intende per routing sulla stessa interfaccia? cmq se io raggiungo la prima interfaccia e riesco a far fare routing fra inside1 e inside2 riesco a vedere la rete della seconda interfaccia?

ciao.
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Andiamo per ordine "vai di proxy-arp": che significa? Non ho ancora affrontato l'argomento, faccio delle ricerche sul forum.
Se usi un pool per la vpn della stessa subnet interna riesci a fare andare il tutto grazie al proxy arp ma tu noin devi fare nulla.
Per quanto riguarda il routing; cosa si intende per routing sulla stessa interfaccia? cmq se io raggiungo la prima interfaccia e riesco a far fare routing fra inside1 e inside2 riesco a vedere la rete della seconda interfaccia?
Se tu devi fare routing da una int verso l'altra no problem!
Il problema è se devi fare usa rotta del tipo:

route inside 192.168.2.0 255.255.255.0 192.168.1.1

La rete in inside e il next-hop (192.168.1.1) sn nella stessa subnet e il firewall te la fa inserire ma poi non funziona![/quote]
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
cavallo

Se usi un pool per la vpn della stessa subnet interna riesci a fare andare il tutto grazie al proxy arp ma tu noin devi fare nulla.
ok allora modifico il pool riconfiguro il nat0
, lo split tunnel e il proxy arp? ci sarà un modo per impostarlo e con quale comando in giro l'ho visto solo su configurazioni di router su una int eth o dialer 'no ip proxy-arp' giusto?.
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Per il proxy-arp in questo caso nn devi fare nulla!
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
cavallo

Wizard ha scritto:Per il proxy-arp in questo caso nn devi fare nulla!
Ho riconfigurato il tutto con un pool di indirizzi della rete che non riuscivo a raggiungere...... ora non vedo più niente mi collego ma non riesco a pingare niente di niente.....

allego la parte di conf.

access-list XxxxxxxxIPSec_splitTunnelAcl standard permit 192.168.10.0 255.255.255.0
access-list XxxxxxxxIPSec_splitTunnelAcl standard permit 172.1.146.0 255.255.255.0
access-list Inside172_nat0_outbound extended permit ip 172.1.146.0 255.255.255.0 192.168.17.0 255.255.255.0
access-list Inside172_nat0_outbound extended permit ip 172.1.146.0 255.255.255.0 172.1.146.192 255.255.255.224
access-list Inside192_nat0_outbound extended permit ip 192.168.10.0 255.255.255.0 192.168.17.0 255.255.255.0
access-list Inside192_nat0_outbound extended permit ip 192.168.10.0 255.255.255.0 172.1.146.192 255.255.255.224
access-list outside_nat_outbound extended permit ip 192.168.17.0 255.255.255.0 any
access-list outside_nat_outbound extended permit ip 172.1.146.192 255.255.255.224 any
ip local pool IPSECPool2 172.1.146.200-172.1.146.210 mask 255.255.255.0
nat (Inside192) 0 access-list Inside192_nat0_outbound
nat (Inside172) 0 access-list Inside172_nat0_outbound
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set TRANS_ESP_3DES_SHA esp-3des esp-sha-hmac
crypto ipsec transform-set TRANS_ESP_3DES_SHA mode transport
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 TRANS_ESP_3DES_SHA
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
no crypto isakmp nat-traversal
crypto isakmp ipsec-over-tcp port 10000 10001 10002 10003 10004 10005
crypto isakmp disconnect-notify
crypto isakmp reload-wait
group-policy XxxxxxxxIPSec internal
group-policy XxxxxxxxIPSec attributes
dns-server value 151.99.125.1 151.99.0.100
vpn-simultaneous-logins 3
vpn-tunnel-protocol IPSec l2tp-ipsec
split-tunnel-policy tunnelall
split-tunnel-network-list value XxxxxxxxIPSec_splitTunnelAcl
vlan none
client-access-rule none
vpn-group-policy XxxxxxxxIPSec
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *
tunnel-group XxxxxxxxIPSec type remote-access
tunnel-group XxxxxxxxIPSec general-attributes
address-pool IPSECPool2
default-group-policy XxxxxxxxIPSec
tunnel-group XxxxxxxxIPSec ipsec-attributes
pre-shared-key *
Top
Rispondi

Torna a “VPN”